在过去的15年里,追踪、起诉、阻止和以其他方式试图阻止海盗湾的运营已经成为娱乐业的一个项目。
Torrent网站面临的对手比地球上任何其他网站都多,但今天,该网站仍然顽固地在线。到底在哪里,由谁运营,要么是一个谜,要么是一个猜测的话题。
在经历了一段时间的平静之后,今年该网站的宿敌瑞典反盗版组织权利联盟(Rights Alliance)再次努力拉近与网站及其运营商的距离。
我们已经详细报道了背景故事,但总而言之,该网站被指控使用瑞典VPN提供商OVPN来隐藏其真实位置,权利联盟现在正在采取法律行动,以获得VPN提供商可能持有的任何信息。
从一开始,OVPN就坚称它是一家无日志服务提供商,这意味着任何人都不可能识别谁在使用其服务上网,或者在海盗湾的情况下,将该平台作为匿名出口点来隐藏其真实位置。
这场斗争正在瑞典的法庭上上演,OVPN坚称没有有用的数据可供交出,权利联盟则坚称有。到目前为止,法院似乎倾向于OVPN的说法,即它没有携带任何日志,因此无法交出任何信息。然而,权利联盟的反海盗老兵们,他们有多年的经验,拒绝放弃这件事。
本周上演的最新举措是,权利联盟提供了一名专家证人的证词,这名证人在VPN领域拥有丰富的经验。
对于普通互联网用户来说,“Cure53”这个名字可能听起来并不熟悉,但这家网络安全公司以其一流的渗透测试能力而闻名。事实上,该公司已经审计了世界上一些最受欢迎的VPN提供商,包括Mullvad、Surfshark和TunnelBear。
鉴于其在该领域的经验,权利联盟也征求了Cure 53相关人员的专家意见,以评估与VPN相关的问题,这一点也就不足为奇了。重要的是,这里似乎没有任何利益冲突,因为得出的结论纯粹是技术性质的,依赖于经验和一般事实,这一点我们稍后会谈到。
这份专家意见出现在TorrentFreak本周审阅的法庭文件中,来自杰斯珀·拉尔森(Jesper Larsson),他在安全公司Ox4a工作,但参与了Cure 53,在那里他“定期”对“世界十大VPN提供商”进行渗透测试。
他的证词显示,权利联盟的Sara Lindbäck委托他就VPN服务的工作原理发表评论,特别是关于海盗湾的OVPN可能存储的哪些信息。
TorrentFreak获得的提交给法院的证词写道:“在OVPN的网站上很清楚,它努力保护用户;通过在他们的数据库中存储尽可能少的用户数据来保护隐私。”
“虽然(OVPN)力争存储尽可能少的数据,但必须有连接用户和身份的数据,才能使VPN服务发挥作用。在这种情况下,用户已经支付了VPN帐户的费用,能够将公共静态地址连接到OVPN,然后用户选择链接到文件共享网站‘The PirateBay’,即用户已经将他的VPN帐户配置为指向给定域。“。
如先前报告所述,海盗湾使用OVPN的指控与普通用户不同。据报道,该网站没有匿名家庭连接,而是使用了提供商的公共IPv4附加组件。虽然该工具受完全相同的无日志策略保护,但在本例中,由特定客户将静态IP地址连接到该服务。“静态”这个词在这里至关重要,也是一个反复出现的主题。
“要使这种配置成为可能,有关配置的数据必须至少在帐户处于活动状态时存储在OVPN中,”Larsson继续说。
“应该认为与上述配置相关联的用户或身份极有可能存储在用户数据库中,其中给定用户可以连接到VPN配置、关于静态IP地址应该指向何处的配置以及应该描述给定帐户有效时间和用户使用哪种支付方法的支付信息。
这位安全专家补充说:“因此,OVPN应该能够在其VPN服务器中搜索给定的IP地址,或者在其用户数据库或这些数据库的备份中进行搜索,以定位给定的用户或身份。”
作为一位局外人的技术评估,这一证词完全没有错。然而,我们较早前在报道维权联盟/电影公司一案时与OVPN的谈话已显示,事情并不是那麽直截了当,需要考虑的事项很多。
许多顶级VPN提供商提供其许多用户共享的出口IP地址。这意味着单个公共IP地址可能与数十个、数百个甚至数千个用户相关。当提供商也没有携带日志时,这提供了增强的匿名性级别。
然而,由于各种原因,一些用户需要一个不变的IP地址,正如我们最近报道的那样,这可以使用户更容易识别。这是因为静态IP地址通常不会改变(或者很少改变),所以如果一个VPN用户被分配了一个专用的IP,理论上他们可以更容易被追踪。
在OVPN和海盗湾涉嫌使用该服务连接到静态IP的情况下,这一方面已经涵盖。
OVPN在谈到其服务的这一方面时表示:“[W]e不能提供任何关于谁在特定日期拥有特定公共IPv4地址的信息,因为用户可以随意更改公共IPv4地址,而另一个用户当时可能正在使用该公共IPv4地址。”
但是,如果有人现在就当前处于活动状态的连接发出请求,它可能会提供一些信息。毕竟,连接是活动的,不需要日志就能看到这一点。
OVPN的David Wibergh告诉TF:“我们现在可以看到谁被分配了静态IP地址,但我们不能回到过去,检查谁在特定的日期拥有它。”这似乎呼应了专家的说法,他说,“……有关配置的数据必须至少在账户活跃期间存储在OVPN。”
安全专家的报告表明,OVPN可以通过备份来定位用户,在这种情况下就是海盗湾。对这一前景感兴趣的是,我们询问了Wibergh关于该公司的后备机制-这能透露关于海盗湾及其在网络空间中位置的信息吗?显然不是。
“我们每天对生产数据库进行多次备份,以防止任何可能的数据丢失。然而,备份会在几天后自动删除,所以在提交禁令时,实际上可以显示哪个用户帐户分配了IP地址的备份已经被删除了,“他解释说。
在这一点上,海盗湾现在可能已经消失很久了,日志不存在,备份也被长期删除,用户名本身可能不是特别有用。然而,如果我们按照一个可以被检索的理论来工作,那么这将取决于服务的特定用户是否可以从中追踪到他们。
OVPN表示,它不要求用户提供电子邮件或物理地址,很乐意接受比特币或现金,但作为一家隐私公司,它不会告诉我们任何关于特定用户的信息,即使那个所谓的用户与海盗湾有联系。
最后,值得再次重申的是,至少在VPN安全性方面,本案的复杂之处在于,海盗湾声称使用OVPN需要分配静态IP地址。当体面的无日志VPN的常规用户被分配一个动态IP地址或被无数其他用户共享的地址时,这些问题应该不会引起他们的注意。